Estructura CPD

1. Organigrama funcional del CPD CIO

Comité de informática Seguridad Lógica Director de CPD y Sistemas de Información

Control de Sistemas

C.I.T.I.

Calidad del SW Calidad de datos FACTORÍA Desarrollo y Mantenimiento

Explotación User Team y CAU

Project Managers

Programadores

Técnicos de Sistemas

SS.OO.

BB.DD. Networking

Operadores DATA Center (Área de Producción) Jefes de Sala

2.Controles generales 2.1. Controles de organización y operación. Los Controles de Organización se refieren a la segregación de funciones y a la responsabilidad por el control. Están diseñados para asegurar que la organización del C.P.D., su Hardware, su Software y sus Recursos Humanos están al servicio de la empresa y tengan la debida protección.

2.1.1. Segregación Se debe mantener la separación de los usuarios que autorizan una transacción, de aquellos que la ejecutan y/o la registran; de los que crean programas de aquellos que operan dichos sistemas, como de los que ejecutan los mismos. Se trata entonces de evitar la concentración de funciones en una sola persona, disminuyendo el riesgo que ello significa. En los sistemas manuales, el control por segregación consiste en separar las cuatros funciones primarias a saber: • Autorización • Ejecución • Registro • Mantenimiento Los sistemas informáticos ejecutan las funciones de autorización, ejecución y registro simultáneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregación de funciones.

2.1.2. Responsabilidad del Control Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que ésto conlleva. Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, deben estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa. No olvidarse que la responsabilidad no se delega.

2.2. Controles de desarrollo de sistemas y documentación. Están diseñados para asegurar que los procedimientos programados son: • Una respuesta a una idea o una solución a un problema, de acuerdo a procedimientos preestablecidos. • Adecuados a los requerimientos de la empresa y de los usuarios. • Se construyen con una metodología adecuada y son debidamente documentados. • Adecuadamente implementados. • Autorizadas las modificaciones a programas en operaciones, cumpliéndose los objetivos precisados.

Desarrollo del Sistema (Metodología) : • Análisis y Diseño • Construcción (prueba de programas) • Implementación (Catalogación y prueba paralela).

2.3. Controles de hardware y software de sistemas. 2.3.1. Sistemas Operativos

Control de Administración de la Seguridad: • Establecer Objetivos de Seguridad • Evaluar los riesgos de Seguridad • Oficial de Seguridad

Perfil de Usuario: • Control de Identificación • Control de Autenticidad • Control de Acceso de Terminales y/o Externo

Monitorización del Sistema de Seguridad: • Registro de las Operaciones (LOG) • Programas Ad-Hoc de Seguridad Activa

2.3.2. Hardware Se debe tener control sobre los siguientes aspectos del Hardware: • Acceso Físico: Debe existir protección al acceso a la sala donde funciona el equipo computacional y sus periféricos. Esto es válido para el hardware en poder de los usuarios. • Registro de Mantenimiento: El Hardware cada vez es más confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitácora de mantenimiento, donde se registre cada reparación o acción preventiva, pudiendo con ello determinar frecuencia de errores y corrección de la prevención. • Medio Ambiente: A pesar que el hardware está más protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental. • Protección de Energía: La fuente de energía debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS. Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive dañar la CPU, la Memoria y/o los circuitos integrados.

3. Mínimo número de personas que deben realizar las funciones en este CPD. •

CEO: Director de CPD El último responsable del CPD.

•

Responsable de control interno (C.I.T.I.). Responsable de las funciones de control. Por debajo de él: ◦ Responsable Seguridad lógica y física y de Control de Sistemas. ◦ Responsable de Control de calidad de software y datos.

•

Responsable de desarrollo y mantenimiento. Por debajo de él:

◦ Jefe global de proyectos: Se pondrá en contacto con los distintos jefes de proyecto.

◦ Responsable de desarrolladores. Último responsable de todos los desarrollos.

◦ Responsable de técnicos de sistemas de producción y desarrollo. (*) Nexo entre los técnicos de producción y desarrollo. •

Responsable de producción. Por debajo de él:

◦ Responsable de técnicos de sistemas de producción y desarrollo. (*) ◦ Responsable de sistemas. ◦ Responsable de redes. ◦ Responsable de bases de datos. ◦ Responsable integridad de datos en Data Centers (Backup). (*) Es la misma persona.

4. Situación de las áreas técnicas de sistemas, Bases de Datos y Telecomunicaciones Las áreas de desarrollo/mantenimiento y explotación/producción se diferencian fundamentalmente en el tipo de datos que manejan, la primera maneja datos de prueba no críticos y la segunda datos reales críticos. Sin embargo ambas áreas necesitan de técnicos de sistemas, bases de datos y redes. Si el área de desarrollo y mantenimiento no los tuviera no podrían realizarse los correctivos (reparación de bugs) y actualizaciones. El área de explotación/producción obviamente necesita de esos técnicos para su correcto funcionamiento. Por lo tanto los técnicos deben estar en las dos áreas. Pero para mantener la integridad de los datos reales estas dos áreas deben estar separadas (segregación) y los técnicos deben ser distintos, para ello el área de desarrollo/mantenimiento tendrá su propio grupo de técnicos que será menor que el grupo de técnicos destinados al área de explotación/producción. Para que ambos técnicos puedan estar en contacto y puedan organizarse cuando sea necesario subir nuevo software al área de producción, deberá existir al menos un responsable por encima de los técnicos de cada área que se encargue de dar el visto bueno a las actualizaciones pendientes que le comuniquen el grupo de técnicos del área de desarrollo, este técnico superior gestionará con los técnicos de producción sobre cuando y cómo llevar a cabo esas actualizaciones en producción poniéndolos en contacto con los técnicos de desarrollo para ver los procedimientos necesarios (calendario, marcha atrás...) para que la actualización llegue a buen término en producción.

5. Segregación de funciones y segregación de entornos La separación más clara está entre el área de desarrollo y al área de producción, no pueden hacer las funciones los técnicos/desarrolladores de una área en la otra. Además hay que separar claramente el área de desarrollo en las siguientes subáreas cada una con sus desarrolladores independientes: •

Entorno de desarrollo.

•

Entorno de testing

•

Entorno de preproducción.

Serán los responsables de cada uno de estos entornos los que se comuniquen con su responsable superior, es decir al responsable de desarrollo/mantenimiento.